Equation Group, hårddiskar och Death Star från skadlig programvara

[ware_item id=33][/ware_item]

Equation Group, hårddiskar och Death Star från skadlig programvara


Forskare vid Kaspersky Lab har avslöjat en ny verktygssats för cyber-spionage som har mer än en passande likhet med liknande kit som används av amerikanska underrättelsebyråer.

I en rapport som släpptes förra måndag beskrev det Moskva-baserade säkerhetsföretag angreppsverktygen som det säger skapades av "Equation Group".

Hacker-gruppen, säger Kaspersky, infiltrerade framgångsrikt tusentals statliga myndigheter med vad den beskriver som "Death Star" av skadlig programvara.

Den långa listan med offer inkluderar militära organ, myndigheter och diplomatiska institutioner, islamiska ledare och tusentals företag över flyg-, finans-, medie-, energi- och teknikindustrin.

Analys av Equation-gruppens kommando- och kontrollinfrastruktur avslöjade hur utbredd den har blivit, med cirka 300 domäner samt över 100 servrar i USA, Storbritannien, Italien, Tyskland, Panama, Costa Rica, Malaysia, Colombia, Tjeckien och många andra.

Kaspersky beskrev en samling verktyg som används av Equation och namngav dem som:

  • EQUATIONDRUG - En mycket komplex attackplattform som används av gruppen på dess offer. Det stöder ett modul plugin-system, som kan laddas upp och lossas dynamiskt av angriparna.
  • DOUBLEFANTASY - En trojan i validatorstil, utformad för att bekräfta målet är det avsedda. Om målet bekräftas, uppgraderas de till en mer sofistikerad plattform som EQUATIONDRUG eller GREYFISH.
  • EQUESTRE - Samma som EQUATIONDRUG.
  • TRIPLEFANTASY - Fullständig bakdörr som ibland används tillsammans med GRAYFISH. Ser ut som en uppgradering av DOUBLEFANTASY, och är möjligen ett nyare plugin för valideringsstil.
  • GRAYFISH - Den mest sofistikerade attackplattformen från EQUATION Group. Den ligger helt i registret och förlitar sig på en startkit för att få körning vid OS-start.
  • FANNY - En datormask som skapades 2008 och används för att samla information om mål i Mellanöstern och Asien. Vissa offer verkar först ha uppgraderats till DoubleFantasy och sedan till EQUATIONDRUG-systemet.
    Fanny använde exploater för två nolldagars sårbarheter som senare upptäcktes med Stuxnet.
  • EQUATIONLASER - Ett tidigt implantat från gruppen EQUATION, som användes omkring2001-2004. Kompatibel med Windows 95/98 och skapas någon gång mellan DOUBLEFANTASY och EQUATIONDRUG.

Kaspersky-forskare varnade också för att listan med verktyg sannolikt inte skulle vara uttömmande, vilket tyder på att Equation fortfarande kan ha fler överraskningar till våren.

Oroande, några av de verktyg som upptäckts av Kaspersky har likheter med gamla favoriter inklusive Flame malware och Stuxnet som riktade iranska kärnreaktorer under ledning av USA: s president Barack Obama.

Ekvationsverktygen upptäcktes på "dussintals populära HDD-varumärken" och enligt Costin Raiu, chef för Kaspersky Labs globala forsknings- och analysteam, kunde de förbli både oupptäckta och oavlägsna - skadlig programvara infekterade firmware på enheter, vilket tillåter den att "Återuppstå" själv, även efter att en enhet har formaterats om eller om operativsystemet installerades om.

Raiu förklarade:

”När hårddisken smittats av denna skadliga nyttolast är det omöjligt att skanna in sin firmware. För att uttrycka det helt enkelt: för de flesta hårddiskar finns det funktioner att skriva in i hårdvaru- / firmwareområdet, men det finns inga funktioner för att läsa det tillbaka.

Det betyder att vi är praktiskt taget blinda och inte kan upptäcka hårddiskar som har infekterats av den här skadliga skadan. "

Med hjälp av Grayfish-verktyget skapar Equation också ett doldt och ihållande område på en hårddisk som sedan används för att spara stulna data som kan samlas in vid en senare tidpunkt av angriparna och användas för att bryta krypteringsprotokoll. Raiu förklarade hur Grayfish körs vid start, vilket gör fången av krypterade lösenord till en relativ bris.

Nätverksåtkomst till maskiner är inte ens en väsentlig förutsättning för att få Ekvation till en enhet - Raiu förklarade att Fanny-komponenten var av särskilt intresse eftersom den hade förmågan att kringgå luftgapförsvar och kunde spridas via ett "unikt USB-baserat kommando och styrmekanism, ”med USB-pinnar med en dold partition som kan användas för att samla systemdata från ett system när det installeras och aktiveras.

När USB-sticket senare ansluts till ett system med internetanslutning kommer det att vidarebefordra den lagrade informationen till dess kommando- och kontrollserver.

Kaspersky började släppa efter Equation-gruppen efter att ha analyserat en dator som tillhör ett forskningsinstitut i Mellanöstern 2008. Den upptäckte Fanny-komponenten som användes för att attackera okända sårbarheter med två nolldagars exploater, som båda senare upptäcktes för att kodas i Stuxnet.

Trots en så stark digital likhet med komponenter i Stuxnet, skulle en talesman för NSA inte bekräfta USA: s engagemang i Equation och sa att byrån var medveten om rapporten men inte vill diskutera eller lämna någon kommentar på den.

Bild: Ian Bunyan / Public Domain Pictures.net

Equation Group, hårddiskar och Death Star från skadlig programvara
admin Author
Sorry! The Author has not filled his profile.